Group-IB оценила ущерб от нового способа мошенничества под видом банков
Мошенники с помощью программы удаленного доступа TeamViewer могут похищать у клиентов крупных банков в среднем от 6 млн до 10 млн руб. в месяц, подсчитали специалисты международной компании Group-IB, которая специализируется на предотвращении кибератак. Об этом РБК рассказал ее представитель.
Во вторник об этом виде мошенничества написала «Российская газета». Впервые специалисты Group-IB зафиксировали волну мошенничества с использованием TeamViewer в апреле и мае 2019 года, когда от банков начали поступать массовые запросы. Активность злоумышленников с небольшим спадом продолжилась летом, второй пик пришелся на июль.
«Сложность обнаружения подозрительных действий состояла в том, что пользователь мобильного приложения банка сам соглашался установить программу делегирования доступа на свой смартфон, после чего отличить его действия от действий мошенника, выдающего себя за реального клиента банка, было достаточно сложно: для этого необходимы системы поведенческого анализа, позволяющие в режиме реального времени выявлять и блокировать мошенническую активность в мобильном канале», — рассказали в Group-IB. Только в одном из банков Group-IB за два месяца удалось предотвратить ущерб из-за подобных атак на сумму 16 млн руб.
Всего программа защиты Group-IB, которая используется банками для обнаружения мошенничества за счет анализа поведения пользователя, ежемесячно блокирует более тысячи попыток вывода средств со счетов физлиц с помощью различных программ удаленного доступа.
Как мошенник получает доступ к мобильному банку жертвы с помощью TeamViewer
1. Злоумышленник от имени банка сообщает клиенту по телефону или СМС о том, что зафиксирована попытка взлома его личного кабинета или вывода средств с его счета.
2. Мошенник сообщает, что службе безопасности банка якобы нужно решить техническую проблему для противодействия взлому, для чего необходимо срочно установить программу для удаленного управления смартфоном, чтобы получить доступ к устройству и обезопасить пользователя.
3. После установки такой программы мошенник имеет возможность действовать от имени пользователя и, получив доступ к приложению для мобильного банкинга, выводит средства со счета.
Банки в курсе проблемы
Опрошенные РБК банки сообщили, что атаки на клиентов с помощью программы удаленного доступа происходят уже давно. Однако количество таких атак незначительно в сравнении с общим числом случаев мошенничества, пояснил директор департамента информационной безопасности банка «Открытие» Владимир Журавлев.
Этот метод существует давно, подтверждает директор по мониторингу операций и диспутам Альфа-банка Алексей Голенищев: «Главное тут — запугивание клиента мошенником под видом сотрудника службы безопасности. Поддавшийся психологической манипуляции клиент выполняет все, что потребует мошенник: устанавливает любую программу или же даже сам переводит деньги, куда скажут».
Изначально программы удаленного доступа использовались мошенниками главным образом в отношении юридических лиц, рассказал вице-президент, директор по безопасности Почта Банка Станислав Павлунин: в первую очередь страдали компании, чьи сотрудники пренебрегали правилами безопасности и не отключали USB-токены с электронной цифровой подписью (ЭЦП) от компьютеров после использования программ «банк-клиент».
Такой тип атак фиксировал Почта Банк, но смог их предотвратить, заверил Павлунин. ВТБ в последние месяцы не фиксировал подобных атак, сообщил представитель банка. Остальные банкиры не ответили на вопросы РБК. В «Лаборатории Касперского» не смогли оценить число случаев мошенничества с использованием программ удаленного доступа, так как из-за специфики таких атак их сложно отследить.
Как не стать жертвой мошенников
Если банковскому клиенту звонит «сотрудник» кредитной организации и сообщает о несанкционированном списании со счета, необходимо положить трубку независимо от того, с какого номера поступил звонок, и для проверки информации позвонить в свой банк самостоятельно по телефону, указанному на карте или сайте банка.